ちょっと前に、某所でサーバ構築のお話をさせていただいてるのだが、そこでの会話

• サーバの利用構築内容は、ファイルサーバですよね？
  • はい。
• １０人程度でのご利用ですので、安価なNASがよろしいかと
  • ん〜それでも良いんだけど、もっと安価なのが良いな
• といいますと？
  • 最近、新しく入った人が、Linuxが良いんじゃないか？と言っていてね
• はぁ。その方が管理されるのであれば、問題ないかと
  • それが、あまり管理したくないらしいんだよね。
• では、NASの方がよろしいかと思いますよ。管理簡単ですし
  • でも、Linuxが・・・・
• 確かに柔軟に管理できますが、設定ミスされた場合大変なことになりますが
  • むろん承知の上だ・・・

とのことだったので、そのようにしてみました。
「新しく来た方」の要望もあり、webminをインストールして、外からログを管理できるようにしておきました。
そして、今日の午前、連絡がありました

• どうされました？
  • なんか、よくわからないんだけど、ディスクフルになったらしい
• まぁ、その可能性もありますよね。何か大きいもの入れました？
  • 特に入れたものはないんだけどね
• こちらからログインして確認してもよろしいでしょうか？
  • よろしくお願いします。

さくっと入ってみたところ、sshでadminってアカウントでログインした形跡が山ほど残ってる・・・・
勝手に、/shared/ってフォルダが出来ていて、その中に、.mp3とか.aviとかってファイルが有る。
許可を取って、adminって管理者のパスワードを、johnで調べたら、１秒かからず、"admin"って出てきたorz
確かに、adminってユーザ作りました。でもそれは、パスワードを設定していないので、外から入れないはず・・・。

• 確認したいんですが
  • はい。
• adminってユーザにパスワード設定されました？
• たしか、私が作ったときは、外から入る必要がないとのことだったので、パスワードを設定しなかったのですが
  • あぁ、それね。設定されてなかったから、設定したよ
• それって、パスワード何にしました？
  • 管理者が設定したので、聞いてみます。
  • adminだそうです。
• ・・・。管理者の方電話口に出してください。
  • 代わりました。
• adminのパスワードですが
  • はい。設定しましたよ。危険じゃないですか、パスワード無しなんて
• えっと、使ってるシステムでは、パスワード無しではローカルではログインできますが、外部からログインできません。
  • そうですね。だから設定したんですよ。
• えっと、それを設定する必要ってありますか？
  • 面倒じゃないですか。いちいちサーバに出向いて設定するのって。
• そのために、あなたのアカウントでwebminを操作できるようにしたんですよ？

• • webminは、社外からアクセス出来ないじゃないですか
• 社外から操作できるようにするってのは、頂いた仕様書にはありませんし、セキュリティ上危険ですよ？
  • それが出来ないから、外部からアクセス出来るようにと、adminにパスワードを設定したんですよ
• そのパスワードがadminですか。それって、第三者からアクセスされてしまいますけど、その辺は認識されました？
  • 何の話だ？adminのパスワードを知ってるのは私だけだ。外部のものが知る訳がない。
• では、一度ログインして、アクセスユーザを確認してください。
  • あ！なぜ、海外からアクセスしてるんですか！あなたの管理疑いますよ！
• ちょっと待ってください。adminっていうユーザにadminってパスワードを設定したら、誰でも入れちゃいますよ
  • そんなはずはない。そんな話は聞いたことがない
• 実際に、見ていただいたようにあなたが設定したパスワードを使ってログインされてますよね。
  • あなたがパスワードを設定しなかったんじゃないか
• 見ていただくとわかりますが、貴殿がパスワードを設定するまでは、adminでのログインはありませんが・・・
  • そらそうだ。ログイン出来な・・・あ！
• おわかり頂ければ幸いです
  • でも、私がパスワードを設定したことと、外部からファイルを置かれたこととは別問題だと思うが？
• では一度、SCPというキーワードでネット検索されることをおすすめしますよ
  • 調べてから、電話する。

これが、１１時の時点でのはなし。そして、この文章を書いてる現時点で、まだ電話がありません。
セキュリティ向上のために、パスワードを設定しなかったことが、仇となりましたか・・・・。